解决方案
当前位置: 首页 > 解决方案 > 通用行业解决方案
ERP、CRM系统应用安全解决方案

一、用户背景

某汽车集团有限公司是我国特大型汽车骨干生产企业,主要业务是汽车及发动机的开发、设计、制造、销售及相关技术咨询,汽车零部件、模具、工装设备、普通机械的开发、设计、制造、销售及相关技术咨询。

二、用户需求

该汽车集团公司的CRM系统的需求如下:

  1. 确保身份的真实性
  2. 传统的用户名/密码的登录方式非常脆弱,易被猜测、窃听、或者暴力破解,因此需要一种高强度的身份认证方式保证登录用户身份的真实性。

  3. 确保交易操作的防抵赖、防篡改
  4. 企业内部的一些关键性操作,需要进行防抵赖,出问题后可进行追溯。

  5. 确保传输的机密性
  6. 对远程传输的数据进行加密,确保数据传输的机密性。

  7. 确保远程用户权限的可控性
  8. 用户在远程接入以后,对其可访问的资源进行细粒度的访问控制,对部分资源控制到端口级,对部分关键资源控制到URL级别。

三、解决方案

  1. 建设数字证书认证服务器,解决服务器和个人用户身份真实性的问题。具体建设方案如下:
    • 1) 证书服务器负责证书的全生命周期管理,部署在独立的基础认证域;
    • 2) 为应用服务器颁发服务器证书,为个人用户颁发个人证书。登录时,实现双向验证,确保应用服务器身份和个人身份的真实性;
    • 3) 个人证书存储于USB KEY,确保私钥的安全。USB KEY是带有密码芯片算法的KEY,存储量大于等于64K。
  2. 建设签名验签服务器,对用户在 CRM 系统中的操作进行数字签名,保证数据的完整性,实现抗抵赖的功能。具体建设方案如下:
    • 1) 将签名验签服务器部署在应用服务域,在浏览器安装签名控件;
    • 2) 用户的操作需要用私钥进行签名,服务器端对用户的签名数据进行验签;
    • 3) 根据需要,进行服务器和客户端双向签名和验签;
    • 4) 应用数据和签名数据进行分别存储。
  3. 建设安全认证网关,解决身份认证、访问控制、传输加密问题,实现统一认证和单点登录。具体建设方案如下:
    • 1) 安全认证网关部署在防火墙之后,采用串联方式,热备部署。部署中心化、简单化,不改变整体网络的结构;
    • 2) 对互联网发布的应用服务器全部在安全认证网关的保护之下,用户远程登陆,通过安全认证网关的身份认证后,在授权范围内访问有权限的应用服务;
    • 3) 所有传输的数据全部进行加密,保证数据的完整性和机密性,防止被黑客窃听和截取;
    • 4) 实现统一认证和单点登录,提高用户的操作便捷性,带来良好的用户体验。

四、网络拓扑

应用安全设备部署拓扑图

五、用户收益

  1. 通过强身份认证手段的采用,确保所有登录CRM系统用户的身份的真实性。
  2. 对CRM系统的重要操作、交易实现签名,满足不可抵赖性、事后可追溯性的应用需求。
  3. 通过加密传输保证了数据传输的机密性和完整性,通过单点登录提高了应用的便捷性。